[发明专利]基于多特征的恶意软件自动化检测方法

权利要求书

1.基于多特征的恶意软件自动化检测方法，其特征在于，包括以下步骤，

步骤S1：预处理数据；

步骤S2：将数据进行特征提取得到特征向量；

步骤S3：有效地对齐和融合上述步骤S2得出的二进制特征向量和三角注意力机制生成的操作码特征向量，生成最终的融合向量；

步骤S4：负责恶意软件的检测和分类。

2.根据权利要求1所述的基于多特征的恶意软件自动化检测方法，其特征在于，所述步骤S1包括以下子步骤：

子步骤S11：在拿到原始的恶意软件文件后，使用IDApro工具对文件进行静态反编译，以获得恶意软件的二进制文件和汇编文件；

子步骤S12：从汇编文件中统计得到关键操作码频次。

3.根据权利要求1所述的基于多特征的恶意软件自动化检测方法，其特征在于，所述子步骤S12包括以下子步骤：

子步骤S121：将每个程序划分为多个子程序块，并计算出每个子程序块个的关键操作码所出现的频次；

子步骤S122：这些关键操作码包括基本操作码，变量名和寄存器名称。

4.根据权利要求1所述的基于多特征的恶意软件自动化检测方法，其特征在于，所述步骤2包括以下子步骤：

子步骤S21：由二进制表示的恶意软件序列信息中包含着核心函数和资源调用等关键信息，通常会随编译分散到序列的不同位置，使用堆叠的双层一维卷积神经网络模型对二进制文件进行特征编码，能够克服二进制文本远距离信息依赖的问题；

子步骤S22：提取操作码信息，使用目前先进的三角注意力算法来计算操作码块的内部关联以及不同操作码块之间的长距离关系；

子步骤S23：计算出不同子程序块中的操作码与其他操作码之间的关联度分数，从而得到一个描述恶意软件汇编文件的矩阵向量。

5.根据权利要求1所述的基于多特征的恶意软件自动化检测方法，其特征在于，所述步骤S3包括以下子步骤：

子步骤S31：使用门控自注意力机制模块来进一步过滤出关键信息；

子步骤S32：使用交叉注意力模块，利用自注意力计算方法，将操作码矩阵向量作为二进制特征向量的计算条件，使得计算得到的输出向量融合了两个特征向量的信息；

子步骤S33：使用了残差网络结构减少训练模型传输过程中的信息丢失。

6.根据权利要求1所述的基于多特征的恶意软件自动化检测方法，其特征在于，所述S4包括以下子步骤：

子步骤S41：使用DNN网络产生分类结果；

子步骤S42：在输出层，使用softmax函数将输入软件标记为其恶意家族；

子步骤S43：训练过程中采用交叉熵损失函数。